マネジメント・システム監査応用問題
内部監査で、重要な情報資産に対する暗号化やアクセス制限などの技術的対策は実施されているが、その対策の有効性を定期的に検証する仕組みが存在しないことが発見されました。この欠陥が続いた場合、セキュリティ態勢の観点から何が懸念されますか?
A.技術的対策があれば、有効性検証は不要である
✗ 導入した対策が時間とともに劣化・迂回される可能性があり、定期検証が必須です。
B.対策の運用劣化や新たな脆弱性への気づきが遅れ、対策としての機能喪失リスクが増加する← 正解
✓ 正解です。運用ミス・設定漂流・新型脅威への対応不足など、対策の実効性低下が検出されず、リスク増加につながります。
C.監査指摘であっても改善は経営判断で延期できる
✗ 有効性検証は基本的な統制要件であり、経営判断での延期は不適切です。
D.対策の有効性検証は情報セキュリティ監査の対象外である
✗ ISMSでは実施された対策の有効性検証は監視・測定・分析の重要な項目です。